SOC Infosecurity повысил уровень защищенности ПАО «ГТЛК» в период пандемии
Задача
Необходимость построения гибридного SOC была связана с рядом задач, касающихся стратегии развития информационной безопасности ПАО «ГТЛК». В рамках данной стратегии перед специалистами управления информационной безопасностью ГТЛК стояла задача в максимально кратчайшие сроки укрепить защиту критичных бизнес-процессов организации и обеспечить комплексную защиту данных при стремительно растущей филиальной сети. Также важным направлением работы стало обеспечение соответствия требованиям 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" и cистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ ГосСОПКА.
Решение
Решение было принято в пользу гибридного SOC компании Infosecurity, когда обработка событий и выявление инцидентов происходит на мощностях заказчика, а управление осуществляется совместно с сервис-провайдером. Важной причиной выбора гибридного SOC стала необходимость выполнения требований 187-ФЗ, согласно которым организации, попадающие под действие закона, обязаны реализовать меры защиты объектов критической информационной инфраструктуры и сообщать уполномоченному органу об инцидентах информационной безопасности в их инфраструктуре.

В рамках проекта были усовершенствованы процессы сбора событий с серверов и рабочих станций. Все системы были переведены на механизмы Windows Event Forwarding, что позволило существенно оптимизировать сбор журналов с разных источников и сократить время на просмотр событий. Также в рамках сбора событий с операционных систем Linux и активного сетевого оборудования были созданы сборщики событий и централизованного направления их на корреляцию в МахPatrol SIEM.

Дополнительно команда Infosecurity провела серию пентестов и выявила критичные и слабо защищённые места инфраструктуры ГТЛК, защита которых была усовершенствована в рамках проекта. По результатам тестирования на проникновение были сформированы новые сценарии реагирования и новые контроли, что позволило повысить скорость ответа на инциденты информационной безопасности.

Особенности
Проект подключения ГТЛК к SOC был не простым: за 10 месяцев необходимо было провести работу по анализу защищенности, cделать инвентаризацию активов и подключить систему к сервису – и все это во время первой волны пандемии. Именно в этот период увеличилось число внешних атак на IT-инфраструктуру ГТЛК, а дополнительным вызовом перед бизнесом стал перевод сотрудников на дистанционную работу. Infosecurity удалось максимально оперативно перестроить работу ГТЛК в рамках поддержки управления реагирования на инциденты ИБ.

Дополнительно внутренние мощности Infosecurity были задействованы для создания терминальной фермы, представляющей собой группу серверов, предназначенных для предоставления удаленной рабочей среды пользователям ГТЛК, которые подключаются к ним с помощью программ-клиентов удаленного доступа. Это помогло упростить перевод персонала ГТЛК на дистанционный режим, а также быстрее реагировать на возникающие запросы администраторам техподдержки со стороны Infosecurity.
Результат
Благодаря SOC компания ГТЛК теперь получает информацию со всех своих филиалов централизованно. Собирать данные и реагировать на инциденты информационной безопасности стало удобнее, увеличилась скорость процессов обработки событий.

После подключения ГТЛК к SOC общий уровень защищенности транспортной компании существенно повысился, в том числе благодаря слаженной работе команд со стороны заказчика и исполнителя. На сегодняшний день в ГТЛК существуют свои дашборды для централизованного вывода информации о текущей обстановке в ИТ-инфраструктуре. Это позволяет сотрудникам ИБ-подразделений оперативно принимать решения по реагированию на инциденты информационной безопасности в период рабочего времени. В остальное время осуществлять мониторинг и реагирование на инциденты ИБ в ГТЛК помогает команда SOC Infosecurity.

В период пандемии сотрудников транспортной компании удалось оперативно перевести на дистанционный режим работы без влияния на текущие бизнес-процессы, снизить риск утечек конфиденциальных данных и наступления других негативных последствий от перехода персонала к «домашнему» офису. Также удалось удовлетворить требования регуляторов сферы информационной безопасности — обеспечить соответствие требованиям 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» и cистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ ГосСОПКА.
Будьте в курсе последних новостей
информационной безопасности
Нажимая кнопки на сайте Вы даете свое согласие на обработку Ваших персональных данных, в соответствии с №152-ФЗ «О персональных данных» от 27.07.2006 года. Оставляя заявку на сайте, Вы соглашаетесь на обработку персональных данных. Не является публичной офертой.